7onez/cti-expert

## 什么是 CTI Expert？ 一个 **Claude Code 技能**，将 Claude 转变为训练有素的网络威胁情报和开源情报分析师。它使用 **67+ 命令**、**35 种技术**运行结构化情报收集——核心功能无需 API 密钥。部分技术支持可选的免费 API 密钥以获取增强访问（例如 Wigle、VirusTotal、URLScan.io）。

**核心能力** 对任何目标类型进行多向量侦察——人员、域名、组织、用户名、电子邮件、IP、WiFi——具备自动发现验证、暴露风险评分和结构化情报交付。

**AEAD 工作流程** **A** 获取原始数据 → **E** 通过枢轴扩展丰富 → **A** 评估发现 → **D** 交付结构化报告（Markdown + Word，包含图表、图形、样式化格式）。

## 演示 ### 完整案例调查
### CTI 报告生成
### 截图

## v2.2 新功能 | 类别 | 新功能 | 详情 | |----------|-----------|---------| | **图像取证** | 人脸搜索、反向图像、篡改检测、AI 地理定位 | FaceCheck.id、TinEye、FotoForensics、Forensically、picarta.ai、GeoSpy、Pic2Map | | **区块链** | 加密钱包追踪、交易图谱、诈骗检测 | Blockchair、Etherscan、WalletExplorer、OXT.me、Chainabuse、Breadcrumbs | | **交通** | 飞机追踪（未过滤）、船舶 AIS、车辆 VIN 查询 | ADS-B Exchange、Flightradar24、Marine Traffic、VesselFinder、NICB VINCheck | | **暗网** | Tor 搜索、勒索软件监控、洋葱服务发现 | Ahmia.fi、onionsearch、DarknetLive、ransomwatch | | **社交媒体** | Reddit、Instagram、TikTok、Telegram 调查 | Osintgram、instaloader、toutatis、RedditMetis、TGStat、TelegramDB、Bellingcat TikTok Timestamp | | **人员搜索** | 美国人员搜索引擎、免费反向查询 | TruePeopleSearch、FastPeopleSearch、IDCrawl、That's Them | | **Mega-Dorks** | 11 个跨平台 Google dork 模板，覆盖 73 个唯一域名 | 社交、Telegram 生态系统、开发平台、论坛、粘贴站点、暗网、泄露数据库、商业、图像、消息、工作 | | **IoT** | 摄像头目录、IoT 设备搜索 | Insecam、Thingful |

v2.1 新功能

| 类别 | 新命令 | 功能 | |----------|-------------|--------------| | **情报** | `/cti-expert /render threat-path`, `/cti-expert /render attack-surface` | 攻击路径流程 + 基础设施暴露可视化 | | **情报** | `/cti-expert /snapshots`, `/cti-expert /diff` | Wayback Machine 快照和版本差异对比 | | **情报** | `/cti-expert /drift`, `/cti-expert /report ioc` | 时间风险追踪 + IOC 导出 (STIX 2.1) | | **用户体验** | `/cti-expert /onboard`, `/cti-expert /clarify`, `/cti-expert /quality` | 首次教程、发现解释、质量评分 | | **用户体验** | `/cti-expert /blind-spots`, `/cti-expert /source-check` | 差距分析 + 批量 URL 验证 | | **用户体验** | `/cti-expert /workspace diff` | 比较两个已保存的调查会话 | | **数据模型** | 来源可靠性 A-F | 用来源级别评分补充信任评分 | | **数据模型** | 4 种新实体类型 | 设备、图像、加密地址、自定义 | | **数据模型** | HIGH 冲突严重性 | 4 级严重性：CRITICAL/HIGH/NOTABLE/MINOR |

## 安装 ### 快速安装（一条命令）

平台	命令
Linux / macOS	``` git clone https://github.com/7onez/cti-expert.git ~/.claude/skills/cti-expert && pip3 install -r ~/.claude/skills/cti-expert/scripts/requirements.txt ```
Windows (PowerShell)	``` git clone https://github.com/7onez/cti-expert.git "$env:USERPROFILE\.claude\skills\cti-expert"; pip3 install -r "$env:USERPROFILE\.claude\skills\cti-expert\scripts\requirements.txt" ```
Windows (CMD)	``` git clone https://github.com/7onez/cti-expert.git "%USERPROFILE%\.claude\skills\cti-expert" && pip3 install -r "%USERPROFILE%\.claude\skills\cti-expert\scripts\requirements.txt" ```

### 选项 A — Claude Code CLI

Linux / macOS

``` # 安装 Claude Code CLI npm install -g @anthropic-ai/claude-code # Clone skill + 安装依赖 git clone https://github.com/7onez/cti-expert.git ~/.claude/skills/cti-expert pip3 install -r ~/.claude/skills/cti-expert/scripts/requirements.txt # 验证 ls ~/.claude/skills/cti-expert/SKILL.md ```

Windows (PowerShell)

``` # 安装 Claude Code CLI npm install -g @anthropic-ai/claude-code # Clone skill + 安装依赖 git clone https://github.com/7onez/cti-expert.git "$env:USERPROFILE\.claude\skills\cti-expert" pip3 install -r "$env:USERPROFILE\.claude\skills\cti-expert\scripts\requirements.txt" # 验证 Test-Path "$env:USERPROFILE\.claude\skills\cti-expert\SKILL.md" ```

### 选项 B — Claude Code 桌面版 (macOS / Windows) **分步指南（无需终端）：** 1. **安装 Claude Code 桌面版** — 从 [claude.ai/download](https://claude.ai/download) 下载并安装应用 2. **下载 CTI Expert** — 访问 [GitHub 仓库](https://github.com/7onez/cti-expert)，点击绿色 **"Code"** 按钮，然后选择 **"Download ZIP"** 3. **解压到你的 skills 文件夹** — 解压下载的文件，然后将解压后的文件夹移动到你的 skills 目录并重命名为 `cti-expert`： | 平台 | 导航方法 | |----------|----------------| | **macOS** | 打开 **Finder** → 按 **Cmd + Shift + G** → 输入 `~/.claude/skills/` → 按 **前往** → 将文件夹移动到此处 | | **Windows** | 打开 **文件资源管理器** → 在地址栏输入 `%USERPROFILE%\.claude\skills\` → 按 **回车** → 将文件夹移动到此处 | 4. **安装 Python 依赖** — 打开 Claude Code 桌面版并发送以下消息给 Claude： 5. **重启 Claude Code 桌面版** — 关闭并重新打开应用 6. **验证** — 在聊天中输入 `/cti-expert` 以确认技能已加载 ### 选项 C — Claude Code 网页版（浏览器）

系统要求

| 要求 | 版本 | 用途 | |-------------|---------|---------| | [Claude Code CLI](https://docs.anthropic.com/en/docs/claude-code/overview) | 最新版 | 终端运行时 | | [Claude Code 桌面版](https://claude.ai/download) | 最新版 | 图形界面运行时 (macOS/Windows) | | Python | 3.8+ | DOCX 报告生成 | | pip 包 | 见 `requirements.txt` | 图表、图形、样式 | | git | 任意版本 | 克隆仓库 |

## 快速开始 ### 1 — 完全自主案例 ``` /cti-expert /case example.com ``` ### 2 — 引导式流程 ``` /cti-expert /flow person # Person investigation workflow /cti-expert /flow domain # Domain reconnaissance workflow /cti-expert /flow image # Image verification workflow ``` ### 3 — 定向侦察 ``` /cti-expert /sweep @username # Multi-vector recon on handle /cti-expert /query example.com # 12-15 advanced search queries /cti-expert /username johndoe # Platform enumeration (3000+) /cti-expert /email-deep user@domain.com # Deep email investigation /cti-expert /subdomain example.com # Certificate transparency + brute-force /cti-expert /threat-check 185.1.1.1 # IP/domain/URL threat intelligence /cti-expert /scam-check suspicious-site.xyz # Phishing/scam domain check /cti-expert /breach-deep user@domain.com # Multi-source breach lookup ``` ### 4 — 分析与评估 ``` /cti-expert /exposure domain.com # Composite risk score (0-100) /cti-expert /threat-model # Build threat model from findings /cti-expert /validate # Verify all findings /cti-expert /coverage # Check investigation completeness ``` ### 5 — 报告 ``` /cti-expert /report # Technical INTSUM report /cti-expert /report brief # Executive summary /cti-expert /brief # Plain-language summary /cti-expert /workspace save # Save workspace + auto-generate .docx ```

## 功能

### 身份与人员 - 人员查询——50+ 数据点 - 电话——运营商、声誉、关联 - 电子邮件——账户、泄露、基础设施 - 用户名——3000+ 平台枚举	### 域名与基础设施 - 通过 CT 日志进行子域枚举 - CMS、CDN、分析指纹识别 - DNS 取证与 WHOIS 深度/反向查询 - 流量分析与受众人口统计	### 分析与验证 - 人脸搜索 (FaceCheck.id) 与反向图像 (TinEye) - 图像取证 (FotoForensics、Forensically) - AI 照片地理定位 (picarta.ai、GeoSpy) - 文档/电子邮件元数据取证 - Google Docs 身份提取 - 100+ 粘贴站点与泄露数据库
### WiFi、地理定位与交通 - 通过 Wigle.net 进行 SSID/BSSID 查询 - W3W、Plus Codes、MGRS、街景 - 飞机追踪 (ADS-B Exchange、Flightradar24) - 船舶追踪 (Marine Traffic、VesselFinder) - 车辆 VIN 查询与车牌识别	### 安全审计 - 云审计 (AWS/GCP/Azure) - OWASP Top 10 源代码审查 - CVE 与供应链漏洞检查 - LLM/agent/MCP 提示注入审计	### 报告与导出 - INTSUM、执行摘要、通俗语言 - 带图表、图形、时间线的 DOCX - 保存/加载案例工作空间 - 法律、记者、HR、威胁分析师格式

## AEAD 案例生命周期 每次调查都遵循四个自动化阶段： ``` ╭──────────────────────────────────────╮ │ AEAD CASE LIFECYCLE │ ╰──────────────────────────────────────╯ ┌─── ACQUIRE ────────────────────────────────────────────────────────┐ │ Collect raw data via /sweep, /query, /username, /phone, etc. │ │ Database search, enumeration, collection gap logging │ └────────────────────────────────┬───────────────────────────────────┘ ▼ ┌─── ENRICH ─────────────────────────────────────────────────────────┐ │ Expand leads via /branch, /crossref, /link-subjects, /signatures │ │ Shared identifier detection, relationship mapping │ └────────────────────────────────┬───────────────────────────────────┘ ▼ ┌─── ASSESS ─────────────────────────────────────────────────────────┐ │ Score & verify via /exposure, /threat-model, /validate, /coverage│ │ Risk scoring, completeness check, evidence chains │ └────────────────────────────────┬───────────────────────────────────┘ ▼ ┌─── DELIVER ────────────────────────────────────────────────────────┐ │ Package output via /report, /brief, /render, /workspace save │ │ Auto-save .md + .docx with charts & diagrams │ └────────────────────────────────────────────────────────────────────┘ ```

## 命令参考

获取 — 数据收集命令

| 命令 | 用途 | |---------|---------| | `/cti-expert /case [target]` | 完整流程——所有适用的技术 | | `/cti-expert /sweep [target]` | 多向量侦察 (人员/域名/组织/用户名/电子邮件/IP) | | `/cti-expert /query [subject]` | 12-15 个高级搜索运算符查询 | | `/cti-expert /username [handle]` | 3000+ 平台枚举 | | `/cti-expert /phone [number]` | 运营商查询、声誉、关联 | | `/cti-expert /email-deep [email]` | 账户、泄露、基础设施 | | `/cti-expert /subdomain [domain]` | CT 日志 + 被动枚举 | | `/cti-expert /threat-check [target]` | IP/域名/URL/哈希威胁情报 | | `/cti-expert /breach-deep [email]` | 多源泄露查询 |

丰富 — 横向扩展命令

| 命令 | 用途 | |---------|---------| | `/cti-expert /branch [data]` | 横向扩展 (电子邮件→用户名、用户名→电子邮件等) | | `/cti-expert /crossref` | 跨主体共享标识符检测 | | `/cti-expert /link-subjects [A] [B]` | 定义主体之间的连接 | | `/ctiert /show-connections` | 显示已记录的连接 | | `/cti-expert /graph` | 完整 ASCII 主体关系图 |

评估 — 评分与验证命令

| 命令 | 用途 | |---------|---------| | `/cti-expert /exposure [target]` | 综合风险评分 (0-100) | | `/cti-expert /threat-model` | 根据发现构建威胁模型 | | `/cti-expert /validate` | 验证发现证据链 | | `/cti-expert /coverage` | 检查调查完整性 |

交付 — 报告生成命令

| 命令 | 用途 | |---------|---------| | `/cti-expert /report` | 技术 INTSUM 报告 | | `/cti-expert /report brief` | 执行摘要 | | `/cti-expert /brief` | 通俗语言摘要 | | `/cti-expert /workspace save` | 保存工作空间 + 自动生成 .docx |

## 技能等级

新手	从业者	专家
低行话模式、分步指导、用于尽职调查、背景调查、安全审查的预构建模板。 **入口：** `/cti-expert /flow person`、`/cti-expert /flow domain`、`/cti-expert /template list`	高级搜索运算符、手动枢轴扩展、自定义威胁建模、带解释的引导式流程。 **入口：** `/cti-expert /query [target]`、`/cti-expert /branch [data]`、`/cti-expert /crossref`、`/cti-expert /threat-model`	原始技术访问、自定义证据权重、有争议的发现解决、直接数据库查询。 **入口：** `/cti-expert /username [handle]`、`/cti-expert /email-deep [email]`、`/cti-expert /secrets [target]`、`/cti-expert /threat-check [target]`

## 技术目录

35 种技术 — 点击展开完整目录

| 技术 | 覆盖范围 | 需要 API 密钥？ | |-----------|----------|-------------------| | `fx-metadata-parsing.md` | EXIF、电子邮件头、文档取证 | 否 | | `fx-image-verification.md` | 图像真实性、来源、反向搜索 | 否 | | `fx-breach-discovery.md` | 泄露数据库 + 粘贴站点枚举 | 可选 (HIBP 批量、DeHashed 付费) | | `fx-http-fingerprint.md` | HTTP 签名分析、服务器指纹识别 | 否 | | `fx-leak-monitoring.md` | 泄露和违规监控自动化 | 混合 (IntelligenceX/Shodan 付费) | | `fx-dns-cert-history.md` | 历史 DNS + SSL/TLS 证书时间线 | 否 | | `fx-document-forensics.md` | PDF/Office 作者身份、创建链、隐藏内容 | 否 | | `fx-network-mapping.md` | 网络拓扑、实体图构建 | 否 | | `username-osint.md` | 3000+ 平台枚举 | 否 | | `phone-osint.md` | 运营商查询、VoIP、FreeCNAM、WhoCalld | 否 | | `email-osint.md` | 深度电子邮件调查、泄露历史 | 否 | | `threat-intel.md` | GreyNoise、AbuseIPDB、OTX、VirusTotal、CIRCL CVE、NVD | 可选 (VT/URLScan 免费密钥) | | `web-traffic-analysis.md` | SimilarWeb、Semrush 估算 | 否 | | `domain-advanced.md` | CT 日志、Amass、Subfinder、被动枚举 | 否 | | `social-media-platforms.md` | Twitter/X、Discord、Strava、BlueSky、ShareTrace、Reddit、Instagram、TikTok、Telegram | 部分 (Discord 需要 token) | | `image-forensics-and-face-search.md` | FaceCheck.id、TinEye、FotoForensics、Forensically、picarta.ai、GeoSpy、Pic2Map | 否 | | `blockchain-investigation.md` | Blockchair、Etherscan、WalletExplorer、OXT.me、Chainabuse、Breadcrumbs | 可选 (Etherscan API 用于批量) | | `transport-tracking.md` | ADS-B Exchange、Flightradar24、Marine Traffic、VesselFinder、VIN 解码 | 否 | | `darknet-investigation.md` | Ahmia.fi、onionsearch、DarknetLive、ransomwatch | 否 | | `advanced-geolocation-techniques.md` | W3W、Plus Codes、MGRS、Overpass Turbo | 否 | | `wifi-ssid-osint.md` | Wigle.net SSID/BSSID 地理定位 | 免费账户 (Wigle API) | | `web-dns-forensics.md` | 区域传输、GitHub、Telegram、WHOIS | 可选 (WHOIS API) | | `scam-check.md` | 网络钓鱼/诈骗域名验证 | 否 | | `ioc-export.md` | IOC 导出 (STIX 2.1、平面列表) | 否 | | `cloud-audit.md` | AWS/GCP/Azure IAM、网络、计算审计 | 否 | | `dependency-audit.md` | CVE、供应链、CI/CD 安全 | 否 | | `disk-forensics.md` | Sleuth Kit、文件雕刻、工件恢复 | 否 | | `incident-triage.md` | NIST 800-61、遏制、IOC 提取 | 否 | | `owasp-audit.md` | OWASP Top 10 源代码审查 | 否 | | `prompt-injection-audit.md` | LLM/agent/MCP 安全评估 | 否 | | `fx-visitor-intelligence.md` | 访客统计、技术栈、地理分析 | 否 | | `fx-social-topology.md` | 社交图构建和分析 | 否 | | `fx-geolocation.md` | GPS、W3W、Plus Codes、MGRS、街景 | 否 | | `secret-scanning.md` | 代码中的凭据/密钥检测 | 可选 (GitHub token 用于 GitDorker) | | `fx-email-header-analysis.md` | 电子邮件头分析、SPF/DKIM | 否 |

## 报告格式 每个 `/report`、`/brief` 和 `/case` 都会自动保存两个文件：

### Markdown 报告 - INTSUM 格式（技术） - 执行摘要（决策者） - 通俗语言摘要（非技术人员） - 法律证据格式（律师）

### Word 文档 (.docx) - 带分类的封面页 - 目录与样式化发现卡片 - 图表：饼图、柱状图、仪表盘、时间线 - 实体关系与网络拓扑图 - 带页码的来源归属表

_{由 scripts/generate-cti-docx.py 生成}

## 架构

项目结构 — 点击展开

``` cti-expert/ ├── SKILL.md Command reference & skill definition ├── README.md This file │ ├── engine/ Case data model & state management │ ├── subject-registry.md How subjects are tracked │ ├── finding-framework.md Finding lifecycle & evidence chains │ ├── workspace-format.md Workspace serialization spec │ └── conflict-resolver.md CONTESTED finding resolution │ ├── techniques/ Collection techniques (29 files) │ ├── fx-metadata-parsing.md, fx-image-verification.md, ... │ ├── username-osint.md, phone-osint.md, email-osint.md │ ├── cloud-audit.md, dependency-audit.md, disk-forensics.md │ └── ... │ ├── experience/ UX, tiers, guided flows │ ├── guided-flows/ Interactive workflows │ ├── case-templates/ Pre-built case templates │ └── accessibility/ Glossary, low-jargon mode │ ├── analysis/ Pattern detection & intelligence engines │ ├── deviation-detector.md Behavioral anomaly detection │ ├── cross-reference-engine.md Shared identifier detection │ └── exposure-model.md Risk score calculation │ ├── output/ Report & visualization specs │ ├── reports/ Report templates │ └── visuals/ Chart & render engine specs │ ├── scripts/ DOCX report generation │ ├── generate-cti-docx.py Main generator │ ├── cti_docx_charts.py Chart rendering │ ├── cti_docx_diagrams.py Entity relationship diagrams │ └── requirements.txt Python dependencies │ ├── workflows/ Professional use-case guides │ ├── wf-journalist.md Journalist source verification │ ├── wf-threat-analyst.md Cyber threat intelligence │ └── wf-hr-screening.md Background checks │ ├── guides/walkthroughs/ Worked case examples │ ├── walkthrough-person-lookup.md │ ├── walkthrough-domain-sweep.md │ └── walkthrough-username-trace.md │ └── validation/ Quality assurance ├── coverage-matrix.md Investigation area coverage ├── quality-scoring.md Finding scoring methodology └── verification-checklist.md Evidence chain validation ```

## 专业工作流程 | 工作流程 | 受众 | 文件 | |----------|----------|------| | **记者来源验证** | 记者、事实核查员 | `workflows/wf-journalist.md` | | **HR 筛选** | HR 专业人员、招聘人员 | `workflows/wf-hr-screening.md` | | **网络威胁情报** | 安全分析师、IR 团队 | `workflows/wf-threat-analyst.md` | | **私家侦探** | 执照 PI、法律团队 | `workflows/wf-private-investigator.md` |

## 道德与负责任使用

允许	禁止
- 记者事实核查与来源验证 - HR 背景调查（需征得同意） - 企业安全研究与威胁情报 - 授权渗透测试与安全审计 - 法律/合规调查 - 个人声誉监控（自我搜索）	- 人肉搜索、骚扰或跟踪 - 未授权监控 - 社会工程或欺诈 - 隐私侵犯 - 犯罪活动

**您需对本技能的所有使用负责。** 请遵守当地法律、法规和平台服务条款。始终尊重隐私和同意边界。

## 贡献 我们欢迎研究贡献、新技术和工作流程改进。

贡献指南

**添加技术：** 1. 创建 `techniques/fx-[name].md`，包含方法描述、免费工具列表、限制 **工作流程改进：** 1. 在 `workflows/` 中记录，包含成功标准 **Pull request 流程：** 1. Fork 并创建功能分支：`git checkout -b feature/technique-name` 2. 在 SKILL.md 和 README.md 中记录更改 3. 在至少 3 个真实目标上进行测试 4. 提交 PR 并附带描述 **错误报告：** 提交问题时请包含命令输出、环境和目标类型。

## 许可证 **MIT 许可证** + 道德使用附录 您可以在 MIT 许可证下自由使用、修改和分发本技能，前提是您包含原始归属、遵守上述道德使用指南，并明确标记任何衍生作品。 完整文本请参阅 [LICENSE](LICENSE)。

## :vietnam: CTI Expert — Tình Báo Mối Đe Dọa Mạng & OSINT

### CTI Expert là gì? Một kỹ năng của Claude Code biến Claude thành một nhà phân tích tình báo mối đe dọa mạng và tình báo nguồn mở chuyên nghiệp. Chạy thu thập tình báo có cấu trúc sử dụng **67+ lệnh** trên **35 kỹ thuật** — không cần API key cho chức năng cốt lõi. Một số kỹ thuật hỗ trợ API key miễn phí tùy chọn để truy cập nâng cao (VD: Wigle, VirusTotal, URLScan.io). **Mới trong v2.2:** Pháp y hình ảnh & tìm kiếm khuôn mặt (FaceCheck.id, TinEye, FotoForensics, picarta.ai AI geolocation), điều tra blockchain (Blockchair, Etherscan, WalletExplorer, Chainabuse), theo dõi vận tải (ADS-B Exchange theo dõi máy bay, Marine Traffic theo dõi tàu, VIN decoder), điều tra darknet (Ahmia.fi tìm kiếm Tor, ransomwatch), mạng xã hội mở rộng (Reddit, Instagram, TikTok, Telegram), tra cứu người (TruePeopleSearch, IDCrawl), 11 mẫu Google mega-dork bao phủ 73 domain. **Mới trong v2.1:** Trực quan hóa đường tấn công (`/cti-expert /render threat-path`), bề mặt tấn công (`/cti-expert /render attack-surface`), xuất IOC STIX 2.1 (`/cti-expert /report ioc`), theo dõi rủi ro theo thời gian (`/cti-expert /drift`), ảnh chụp Wayback (`/cti-expert /snapshots`, `/cti-expert /diff`), hướng dẫn người mới (`/cti-expert /onboard`), giải thích phát hiện (`/cti-expert /clarify`), phân tích khoảng trống (`/cti-expert /blind-spots`), kiểm tra nguồn (`/cti-expert /source-check`), so sánh phiên (`/cti-expert /workspace diff`), điểm chất lượng (`/cti-expert /quality`), thang độ tin cậy nguồn A-F, 4 loại thực thể mới. **Khả năng cốt lõi:** Trinh sát đa vector trên mọi loại mục tiêu (cá nhân, tên miền, tổ chức, tên người dùng, email, IP, WiFi) với xác thực phát hiện tự động, chấm điểm rủi ro phơi bày, và báo cáo tình báo có cấu trúc ở nhiều định dạng. **Quy trình:** Vòng đời AE — Thu thập dữ liệu thô → Làm giàu bằng mở rộng pivot → Đánh giá phát hiện → Phân phối báo cáo có cấu trúc (Markdown + Word với biểu đồ, sơ đồ, định dạng chuyên nghiệp). ### 安装 #### 快速安装（一条命令）

Hệ điều hành	Lệnh
Linux / macOS	``` git clone https://github.com/7onez/cti-expert.git ~/.claude/skills/cti-expert && pip3 install -r ~/.claude/skills/cti-expert/scripts/requirements.txt ```
Windows (PowerShell)	``` git clone https://github.com/7onez/cti-expert.git "$env:USERPROFILE\.claude\skills\cti-expert"; pip3 install -r "$env:USERPROFILE\.claude\skills\cti-expert\scripts\requirements.txt" ```
Windows (CMD)	``` git clone https://github.com/7onez/cti-expert.git "%USERPROFILE%\.claude\skills\cti-expert" && pip3 install -r "%USERPROFILE%\.claude\skills\cti-expert\scripts\requirements.txt" ```

#### 选项 A — Claude Code CLI

Linux / macOS

``` # 安装 Claude Code CLI npm install -g @anthropic-ai/claude-code # Clone skill + 安装依赖 git clone https://github.com/7onez/cti-expert.git ~/.claude/skills/cti-expert pip3 install -r ~/.claude/skills/cti-expert/scripts/requirements.txt # 确认 ls ~/.claude/skills/cti-expert/SKILL.md ```

Windows (PowerShell)

``` # 安装 Claude Code CLI npm install -g @anthropic-ai/claude-code # Clone skill + 安装依赖 git clone https://github.com/7onez/cti-expert.git "$env:USERPROFILE\.claude\skills\cti-expert" pip3 install -r "$env:USERPROFILE\.claude\skills\cti-expert\scripts\requirements.txt" # 确认 Test-Path "$env:USERPROFILE\.claude\skills\cti-expert\SKILL.md" ```

#### 选项 B — Claude Code Desktop (macOS / Windows) **Hướng dẫn từng bước (không cần terminal):** 1. **Cài đặt Claude Code Desktop** — Tải từ [claude.ai/download](https://claude.ai/download) và cài đặt ứng dụng 2. **Tải CTI Expert** — Vào [kho GitHub](https://github.com/7onez/cti-expert), nhấn nút **"Code"** màu xanh, sau đó chọn **"Download ZIP"** 3. **Giải nén vào thư mục skills** — Giải nén file đã tải, sau đó di chuyển thư mục vào thư mục skills và đổi tên thành `cti-expert`: | Hệ điều hành | Cách điều hướng | |-------------|----------------| | **macOS** | Mở **Finder** → Nhấn **Cmd + Shift + G** → Nhập `~/.claude/skills/` → Nhấn **Go** → Di chuyển thư mục vào đây | | **Windows** | Mở **File Explorer** → Nhập `%USERPROFILE%\.claude\skills\` vào thanh địa chỉ → Nhấn **Enter** → Di chuyển thư mục vào đây | 4. **Cài đặt thư viện Python** — Mở Claude Code Desktop và gửi tin nhắn sau cho Claude: 5. **Khởi động lại Claude Code Desktop** — Đóng và mở lại ứng dụng 6. **Xác nhận** — Gõ `/cti-expert` trong chat để xác nhận skill đã được tải #### 选项 C — Claude Code Web (浏览器)

Yêu cầu hệ thống

| Yêu cầu | Phiên bản | Mục đích | |----------|-----------|----------| | [Claude Code CLI](https://docs.anthropic.com/en/docs/claude-code/overview) | Mới nhất | Runtime terminal | | [Claude Code Desktop](https://claude.ai/download) | Mới nhất | Runtime giao diện (macOS/Windows) | | Python | 3.8+ | Tạo báo cáo DOCX | | pip packages | Xem `requirements.txt` | Biểu đồ, sơ đồ, định dạng | | git | Bất kỳ | Clone repository |

### 快速开始 ``` /cti-expert /case example.com # Chạy case tự động hoàn toàn /cti-expert /flow person # Quy trình điều tra cá nhân /cti-expert /flow domain # Quy trình trinh sát tên miền /cti-expert /sweep @username # Trinh sát đa vector trên handle /cti-expert /query example.com # 12-15 truy vấn tìm kiếm nâng cao /cti-expert /username johndoe # Liệt kê nền tảng (3000+) /cti-expert /email-deep user@domain.com # Điều tra email chuyên sâu /cti-expert /exposure domain.com # Điểm rủi ro tổng hợp (0-100) /cti-expert /report # Báo cáo kỹ thuật INTSUM /cti-expert /workspace save # Lưu workspace + tự động tạo .docx ``` ### 领域特性 | Lĩnh vực | Khả năng | |-----------|----------| | **Danh tính & Con người** | Tra cứu cá nhân (50+ điểm dữ liệu), điều tra số điện thoại, email chuyên sâu, liệt kê tên người dùng (3000+ nền tảng) | | **Tên miền & Hạ tầng** | Liệt kê subdomain, fingerprint kỹ thuật, pháp y DNS, phân tích lưu lượng | | **Phân tích & Xác minh** | Xác minh hình ảnh, pháp y metadata, pháp y web, cơ sở dữ liệu rò rỉ | | **WiFi & Định vị** | Định vị WiFi qua Wigle.net, định vị nâng cao (W3W, Plus Codes, MGRS) | | **Kiểm tra bảo mật** | Kiểm tra đám mây (AWS/GCP/Azure), kiểm tra OWASP, kiểm tra dependency, kiểm tra prompt injection | | **Báo cáo & Xuất** | Báo cáo Markdown, DOCX với biểu đồ, workspace case, định dạng chuyên nghiệp | ### 道德与负责任使用 **Kỹ năng này chỉ dành cho nghiên cứu hợp pháp và điều tra bảo mật chuyên nghiệp.** **Được phép:** Xác minh nguồn báo chí, sàng lọc nhân sự (có sự đồng ý), nghiên cứu bảo mật doanh nghiệp, kiểm tra xâm nhập được ủy quyền, điều tra pháp lý/tuân thủ, giám sát danh tiếng cá nhân. **Cấm:** Doxxing, quấy rối, theo dõi, giám sát trái phép, kỹ thuật xã hội, gian lận, vi phạm quyền riêng tư, hoạt động tội phạm. **Tác giả:** [Hieu Ngo](https://chongluadao.vn) • [hieu.ngo@chongluadao.vn](mailto:hieu.ngo@chongluadao.vn) • **Phiên bản:** 2.2 • **Giấy phép:** MIT

## :cn: CTI Expert — 网络威胁情报与开源情报

### 什么是 CTI Expert？ 一个 Claude Code 技能，将 Claude 转变为训练有素的网络威胁情报和开源情报分析师。使用 **67+ 个命令**、**35 种技术**进行结构化情报收集——核心功能无需 API 密钥。部分技术支持可选的免费 API 密钥以获取增强访问（如 Wigle、VirusTotal、URLScan.io）。 **v2.2 新功能：** 图像取证与人脸搜索（FaceCheck.id、TinEye、FotoForensics、picarta.ai AI地理定位）、区块链调查（Blockchair、Etherscan、WalletExplorer、Chainabuse）、交通追踪（ADS-B Exchange飞机追踪、Marine Traffic船舶追踪、VIN解码器）、暗网调查（Ahmia.fi Tor搜索、ransomwatch）、社交媒体扩展（Reddit、Instagram、TikTok、Telegram）、人员搜索（TruePeopleSearch、IDCrawl）、11个跨平台Google mega-dork模板覆盖73个域名。 **v2.1 新功能：** 攻击路径可视化（`/cti-expert /render threat-path`）、攻击面映射（`/cti-expert /render attack-surface`）、STIX 2.1 IOC 导出（`/cti-expert /report ioc`）、时间风险追踪（`/cti-expert /drift`）、Wayback 快照（`/cti-expert /snapshots`、`/cti-expert /diff`）、新手引导（`/cti-expert /onboard`）、发现解释（`/cti-expert /clarify`）、盲点分析（`/cti-expert /blind-spots`）、来源检查（`/cti-expert /source-check`）、会话比较（`/cti-expert /workspace diff`）、质量评分（`/cti-expert /quality`）、来源可靠性 A-F 等级、4 种新实体类型。 **核心能力：** 对任何目标类型（个人、域名、组织、用户名、电子邮件、IP、WiFi）进行多向量侦察，具备自动发现验证、暴露风险评分，以及多格式结构化情报交付。 **工作流程：** AEAD 生命周期——获取原始数据 → 通过枢轴扩展丰富 → 评估发现 → 交付结构化报告（Markdown + 带图表、图形、专业格式的 Word 文档）。 ### 安装 #### 快速安装（一条命令）

操作系统	命令
Linux / macOS	``` git clone https://github.com/7onez/cti-expert.git ~/.claude/skills/cti-expert && pip3 install -r ~/.claude/skills/cti-expert/scripts/requirements.txt ```
Windows (PowerShell)	``` git clone https://github.com/7onez/cti-expert.git "$env:USERPROFILE\.claude\skills\cti-expert"; pip3 install -r "$env:USERPROFILE\.claude\skills\cti-expert\scripts\requirements.txt" ```
Windows (CMD)	``` git clone https://github.com/7onez/cti-expert.git "%USERPROFILE%\.claude\skills\cti-expert" && pip3 install -r "%USERPROFILE%\.claude\skills\cti-expert\scripts\requirements.txt" ```

#### 选项 A — Claude Code CLI

Linux / macOS

``` # 安装 Claude Code CLI npm install -g @anthropic-ai/claude-code # 克隆技能 + 安装依赖 git clone https://github.com/7onez/cti-expert.git ~/.claude/skills/cti-expert pip3 install -r ~/.claude/skills/cti-expert/scripts/requirements.txt # 验证 ls ~/.claude/skills/cti-expert/SKILL.md ```

Windows (PowerShell)

``` # 安装 Claude Code CLI npm install -g @anthropic-ai/claude-code # 克隆技能 + 安装依赖 git clone https://github.com/7onez/cti-expert.git "$env:USERPROFILE\.claude\skills\cti-expert" pip3 install -r "$env:USERPROFILE\.claude\skills\cti-expert\scripts\requirements.txt" # 验证 Test-Path "$env:USERPROFILE\.claude\skills\cti-expert\SKILL.md" ```

#### 选项 B — Claude Code 桌面版（macOS / Windows） **分步指南（无需终端）：** 1. **安装 Claude Code 桌面版** — 从 [claude.ai/download](https://claude.ai/download) 下载并安装应用 2. **下载 CTI Expert** — 访问 [GitHub 仓库](https://github.com/7onez/cti-expert)，点击绿色 **"Code"** 按钮，然后选择 **"Download ZIP"** 3. **解压到 skills 文件夹** — 解压下载的文件，将解压后的文件夹移动到 skills 目录并重命名为 `cti-expert`： | 操作系统 | 导航方法 | |---------|---------| | **macOS** | 打开 **Finder** → 按 **Cmd + Shift + G** → 输入 `~/.claude/skills/` → 点击 **前往** → 将文件夹移动到此处 | | **Windows** | 打开 **文件资源管理器** → 在地址栏输入 `%USERPROFILE%\.claude\skills\` → 按 **回车** → 将文件夹移动到此处 | 4. **安装 Python 依赖** — 打开 Claude Code 桌面版，发送以下消息给 Claude： 5. **重启 Claude Code 桌面版** — 关闭并重新打开应用 6. **验证** — 在聊天中输入 `/cti-expert` 确认技能已加载 #### 选项 C — Claude Code 网页版（浏览器）

系统要求

| 要求 | 版本 | 用途 | |------|------|------| | [Claude Code CLI](https://docs.anthropic.com/en/docs/claude-code/overview) | 最新版 | 终端运行时 | | [Claude Code 桌面版](https://claude.ai/download) | 最新版 | 图形界面运行时（macOS/Windows） | | Python | 3.8+ | DOCX 报告生成 | | pip 包 | 见 `requirements.txt` | 图表、图形、样式 | | git | 任意版本 | 克隆仓库 |

### 快速入门 ``` /cti-expert /case example.com # 完全自动案例 /cti-expert /flow person # 人员调查流程 /cti-expert /flow domain # 域名侦察流程 /cti-expert /sweep @username # 对账号进行多向量侦察 /cti-expert /query example.com # 12-15 个高级搜索查询 /cti-expert /username johndoe # 平台枚举（3000+） /cti-expert /email-deep user@domain.com # 深度电子邮件调查 /cti-expert /exposure domain.com # 综合风险评分（0-100） /cti-expert /report # 技术 INTSUM 报告 /cti-expert /workspace save # 保存工作空间 + 自动生成 .docx ``` ### 功能领域 | 领域 | 能力 | |------|------| | **身份与人员** | 人员查询（50+ 数据点）、电话调查、深度邮件分析、用户名枚举（3000+ 平台） | | **域名与基础设施** | 子域枚举、技术指纹、DNS 取证、流量分析 | | **分析与验证** | 图像验证、元数据取证、网页取证、泄露数据库 | | **WiFi 与地理定位** | 通过 Wigle.net WiFi 定位、高级地理定位（W3W、Plus Codes、MGRS） | | **安全审计** | 云审计（AWS/GCP/Azure）、OWASP 审计、依赖审计、提示注入审计 | | **报告与导出** | Markdown 报告、带图表的 DOCX、案例工作空间、专业格式 | ### 道德与负责任使用 **此技能仅用于合法研究和专业安全调查。** **允许：** 新闻事实核查、人力资源筛选（需征得同意）、企业安全研究、授权渗透测试、法律/合规调查、个人声誉监控。 **禁止：** 人肉搜索、骚扰、跟踪、未授权监控、社会工程、欺诈、隐私侵犯、犯罪活动。 **作者：** [Hieu Ngo](https://chongluadao.vn) • [hieu.ngo@chongluadao.vn](mailto:hieu.ngo@chongluadao.vn) • **版本：** 2.2 • **许可证：** MIT

标签：AI 助手, Claude, Claude Code, CVE检测, DAST, ESC4, MIT 协议, OSINT, 威胁情报, 开发者工具, 恶意软件分析, 情报分析, 数据展示, 无 API Key, 漏洞分析, 用户定义反射加载器, 红队, 网络安全, 网络安全研究, 网络诊断, 自动化分析, 跨站脚本, 路径探测, 逆向工具, 防御加固, 隐私保护